Los actores de amenazas han comenzado a explotar dos fallas de seguridad recientemente reveladas en los dispositivos Fortinet FortiGate, menos de una semana después de la divulgación pública.
La empresa de ciberseguridad Arctic Wolf dijo que observó intrusiones activas que involucraban inicios de sesión maliciosos de inicio de sesión único (SSO) en dispositivos FortiGate el 12 de diciembre de 2025. Los ataques explotan dos omisiones de autenticación críticas (CVE-2025-59718 y CVE-2025-59719, puntuaciones CVSS: 9,8). Fortinet lanzó parches para las fallas la semana pasada para FortiOS, FortiWeb, FortiProxy y FortiSwitchManager.
«Estas vulnerabilidades permiten eludir sin autenticación la autenticación de inicio de sesión SSO a través de mensajes SAML manipulados, si la función FortiCloud SSO está habilitada en los dispositivos afectados», dijo Arctic Wolf Labs en un nuevo boletín.
Vale la pena señalar que, si bien FortiCloud SSO está deshabilitado de forma predeterminada, se habilita automáticamente durante el registro de FortiCare a menos que los administradores lo desactiven explícitamente usando la configuración «Permitir inicio de sesión administrativo usando FortiCloud SSO» en la página de registro.
En la actividad maliciosa observada por Arctic Wolf, se utilizaron direcciones IP asociadas con un conjunto limitado de proveedores de alojamiento, como The Constant Company llc, Bl Networks y Kaopu Cloud Hk Limited, para realizar inicios de sesión SSO maliciosos en la cuenta «admin».
Después de los inicios de sesión, se descubrió que los atacantes exportaban configuraciones de dispositivos a través de la GUI a las mismas direcciones IP.
Un portavoz de Arctic Wolf Labs dijo a The Hacker News que la campaña aún se encuentra en sus primeras etapas y agregó que sólo una proporción relativamente pequeña de las redes monitoreadas se han visto afectadas.
«Nuestra investigación está en curso sobre el origen y la naturaleza de esta actividad de amenaza, y no podemos atribuir los ataques a ningún grupo de actores de amenazas específico en este momento», añadió. «Hasta ahora, el patrón de actividad parece ser de naturaleza oportunista».
A la luz de la actividad de explotación en curso, se recomienda a las organizaciones que apliquen los parches lo antes posible. Como mitigación, es esencial deshabilitar FortiCloud SSO hasta que las instancias se actualicen a la última versión y limitar el acceso a las interfaces de administración de firewalls y VPN a usuarios internos confiables.
«Aunque las credenciales generalmente se procesan en configuraciones de dispositivos de red, se sabe que los actores de amenazas descifran hashes fuera de línea, especialmente si las credenciales son débiles y susceptibles a ataques de diccionario», dijo Arctic Wolf.
Se recomienda a los clientes de Fortinet que encuentren indicadores de compromiso (IoC) consistentes con la campaña que asuman el compromiso y restablezcan las credenciales de firewall hash almacenadas en las configuraciones exfiltradas.
Actualizar
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), el 16 de diciembre de 2025, agregó CVE-2025-59718 a su catálogo de vulnerabilidades explotadas conocidas (KEV), exigiendo que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen las correcciones antes del 23 de diciembre de 2025.